Исследователи из Symantec обнаружили Betruger — кастомный бэкдор, используемый в недавних атаках операторов RansomHub (RaaS). Этот редкий многофункциональный инструмент, вероятно, разработан специально для атак с применением программ-вымогателей.
Кейлоггер — перехват нажатий клавиш
Сканирование сети — выявление уязвимых хостов
Эскалация привилегий — получение контроля на уровне администратора
Дамп учетных данных — извлечение паролей
Создание скриншотов — слежка за действиями пользователей
Передача файлов на C2-сервер — отправка украденных данных
Betruger распространяется под именами "mailer.exe" и "turbomailer.exe", маскируясь под почтовые приложения.
Ранее BlackMatter и BlackByte разрабатывали собственные утилиты Exmatter и Exbyte для кражи данных, но они использовались только для эксфильтрации. Betruger же объединяет в себе функции разведки, эскалации и передачи данных.
RansomHub (ранее Cyclops/Knight) — RaaS-группа, появившаяся в феврале 2024 года. В отличие от классических атак ransomware, она делает ставку на кражу данных и шантаж, а не просто шифрует файлы жертв.
Среди известных жертв RansomHub:
Halliburton (нефтесервис)
Christie's (аукционный дом)
Frontier Communications (телеком)
Rite Aid (сеть аптек)
Kawasaki EU (европейское подразделение)
Planned Parenthood (организация здравоохранения)
Bologna FC (итальянский футбольный клуб)
RansomHub также опубликовала украденные данные Change Healthcare после громкого мошенничества с выкупом BlackCat/ALPHV ($22 млн).
В августе 2024 года жертвой стала BayMark Health Services, крупнейшая сеть клиник лечения зависимости в США. Она обслуживает 75 000 пациентов в 400+ центрах.
Организациям следует усилить мониторинг процессов ("mailer.exe", "turbomailer.exe")
Обновлять EDR-системы для обнаружения новых угроз
Ограничивать права пользователей и предотвращать эскалацию привилегий
Анализировать сетевой трафик на предмет подозрительных соединений с C2-серверами
Бэкдор Betruger может изменить методы атак групп-вымогателей, уменьшая зависимость от сторонних инструментов и повышая сложность обнаружения атак.
Источник
Функциональность Betruger
Betruger объединяет в себе ключевые инструменты подготовки атаки, что позволяет сократить количество загружаемых файлов перед развёртыванием ransomware. Он обладает следующими возможностями: Кейлоггер — перехват нажатий клавиш Сканирование сети — выявление уязвимых хостов Эскалация привилегий — получение контроля на уровне администратора Дамп учетных данных — извлечение паролей Создание скриншотов — слежка за действиями пользователей Передача файлов на C2-сервер — отправка украденных данныхBetruger распространяется под именами "mailer.exe" и "turbomailer.exe", маскируясь под почтовые приложения.
Как Betruger отличается от других инструментов
В отличие от большинства групп-вымогателей, которые используют готовые решения (Mimikatz, Cobalt Strike), Betruger — кастомный инструмент, что делает его редкостью среди ransomware-групп.Ранее BlackMatter и BlackByte разрабатывали собственные утилиты Exmatter и Exbyte для кражи данных, но они использовались только для эксфильтрации. Betruger же объединяет в себе функции разведки, эскалации и передачи данных.
Операция RansomHub
RansomHub (ранее Cyclops/Knight) — RaaS-группа, появившаяся в феврале 2024 года. В отличие от классических атак ransomware, она делает ставку на кражу данных и шантаж, а не просто шифрует файлы жертв.
Среди известных жертв RansomHub:
Halliburton (нефтесервис) Christie's (аукционный дом) Frontier Communications (телеком) Rite Aid (сеть аптек) Kawasaki EU (европейское подразделение) Planned Parenthood (организация здравоохранения) Bologna FC (итальянский футбольный клуб)RansomHub также опубликовала украденные данные Change Healthcare после громкого мошенничества с выкупом BlackCat/ALPHV ($22 млн).
Атаки на критическую инфраструктуру
По данным ФБР, RansomHub атаковала более 200 организаций в критически важных секторах США (государство, инфраструктура, медицина). В августе 2024 года жертвой стала BayMark Health Services, крупнейшая сеть клиник лечения зависимости в США. Она обслуживает 75 000 пациентов в 400+ центрах.Выводы и рекомендации
Betruger — уникальный инструмент, который упрощает развертывание атак за счёт объединения разведки, эскалации и кражи данных в одном модуле. Организациям следует усилить мониторинг процессов ("mailer.exe", "turbomailer.exe") Обновлять EDR-системы для обнаружения новых угроз Ограничивать права пользователей и предотвращать эскалацию привилегий Анализировать сетевой трафик на предмет подозрительных соединений с C2-серверамиБэкдор Betruger может изменить методы атак групп-вымогателей, уменьшая зависимость от сторонних инструментов и повышая сложность обнаружения атак.
Источник
